В "Менеджере автозапуска" не перечислены программы из меню "Startup" для пользователя домена, который работает на этом компьютере.
Printable View
В "Менеджере автозапуска" не перечислены программы из меню "Startup" для пользователя домена, который работает на этом компьютере.
[QUOTE=Зайцев Олег]4. Глюк, который нашел azza - поддержка портов будет переделана, я выкину из базы "неявные" порты, тогда ткие срабатывания исчезнут - на порыт в зоне 1000-2000 срабатывания идет часто и не по делу...[/QUOTE]
Зря ты меня не слушаеш. Для тех операционок где можно определить какои процесс слушает определённый порт нужно делать правила привязанные к процессам. Потому как из за ИЕ отменять проверку портов 1000-2000 для всех процессов не имеет смысла.
Исследование системы.
Ну жн бы наоборот, быделять цветом процессы, а цвет строк подгруженных ими длл что бы совподал с цветом фона. Так же заголовок таблицы (например Автозапуск
) должен отличаться от цвета фона, а все остальмые строки совпадать.
В списке драйверов почему-то в основном отсутствуют названия файлов :(
1. Названия файлов в списке драйверов могут отсутствовать - есть двайвера, у которых не возвращается имя файла ... пример - Beep, Null и т.п. - их можно отфильтровать.
2. Цвета я поменяю (желательны предложения, т.к. я их не очень то и различаю :))
3. насчет портов - варианты продумываются, но связка порт-процесс пока не проходит - есть же динамическое названием порта, ... оно непредсказуемо/ Ближайший пример - порты UDP, открывемые в IE - я попробовал несколько раз его запустить - и получил порты 1089,1230, 1247 ... нужно еще [url="http://virusinfo.info/member.php?u=1525"][color=#6600ff]aintrust[/color][/url] послушать, может он выскажет мнение по портам ...
[QUOTE=Зайцев Олег]2. Цвета я поменяю (желательны предложения, т.к. я их не очень то и различаю :))
[/QUOTE]
С цветами в общем всё нормально. Просто логика сделана наоборот. Заголовки таблиц должны отличаться о цвету от цвета фона, а сейчас наоборот. Заголовки цветом фона, а всё остальное отличается :)
То же и с процессами. Строки названия процесса должны отличаться от цвета фона, а строки длл совпадать.
А вообще есть проблемка. Одни и те же длл дублируются для разных процессов. Неудобно и засоряет лог. Предлагаю так. Список всех процессов, а ниже список длл, и для каждой длл список PID процессов в которые она загружена. Будет намного нагляднее.
[QUOTE]3. насчет портов - варианты продумываются, но связка порт-процесс пока не проходит - есть же динамическое названием порта, ... оно непредсказуемо/ Ближайший пример - порты UDP, открывемые в IE - я попробовал несколько раз его запустить - и получил порты 1089,1230, 1247[/QUOTE]
Так для каждого процесса можно определить не порт, а диапазон портов которые он обычно случает, и ругаться на всё остальное.
[QUOTE=Geser]Так для каждого процесса можно определить не порт, а диапазон портов которые он обычно слушает, и ругаться на всё остальное.[/QUOTE]
Извини, может я чего-то не понял, но ведь на тех портах, которые слушает легитимный процесс может и бяка сидеть, или я не прав?
[QUOTE=ALEX(XX)]Извини, может я чего-то не понял, но ведь на тех портах, которые слушает легитимный процесс может и бяка сидеть, или я не прав?[/QUOTE]
Может, но тогда делать нечего. Можно только быдавать предупреждения о нестандартных портах.
Жалко под 2000 не отображается связка "порт-процесс"
[QUOTE=ALEX(XX)]Жалко под 2000 не отображается связка "порт-процесс"[/QUOTE]У меня сейчас, на домашнем, Миранда сегодня сидела на 1034 порту... перезапустил её, перестала :)
У меня порой Нортон тоже 1034 порт использует
У меня такая вешь. При копировании текста из лога АВЗ он становится следующим. Наверное, 866 кодировка используется. Можно и виндовую прикрутить. Хотя, может это только у меня.
Ïðîòîêîë àíòèâèðóñíîé óòèëèòû AVZ âåðñèè 3.60
Ñêàíèðîâàíèå çàïóùåíî â 25.06.2005 11:32:52
Çàãðóæåíà áàçà: 14656 ñèãíàòóð, 1 íåéðîïðîôèëü, 55
Известная проблема. Сохранить лог вфайл и всё будет хорошо.
[QUOTE=cander]У меня такая вешь. При копировании текста из лога АВЗ он становится следующим. Наверное, 866 кодировка используется. Можно и виндовую прикрутить. Хотя, может это только у меня.
Ïðîòîêîë àíòèâèðóñíîé óòèëèòû AVZ âåðñèè 3.60
Ñêàíèðîâàíèå çàïóùåíî â 25.06.2005 11:32:52
Çàãðóæåíà áàçà: 14656 ñèãíàòóð, 1 íåéðîïðîôèëü, 55[/QUOTE]
После выделения того, что надо скопировать, переключить язык в "Ru" на панели задач. А затем уже копировать.
[QUOTE=azza]После выделения того, что надо скопировать, переключить язык в "Ru" на панели задач. А затем уже копировать.[/QUOTE]
Да, к сожалению есть такой баг - причем он прочвляется во всех писанных на Delphi программах. Я удавлю это в очередной версией перехватом Ctrl-C, Ctrl-Inst и меню по правой кнопке.
----
Я зыбыл анонсировать еще одну "фичу" нового AVZ ... по многочисленным просьбам введен режим действий, доступный для всех категорий зловредных программ - "спросить пользователя" (до этого было только "удалить" и "только отчет)". Если его выбрать, то AVZ для каждого объекта выводит окно с полным именем объекта и названием обнаруженного зверя.
В "[B]Исследовании системы[/B]" есть проблемы с выделением цветом процессов и DLL, они часто путаются, т.е. некоторые процессы имеют цвет DLL, и наоборот.
Поддерживаю предложение Geser'а: [QUOTE]Одни и те же длл дублируются для разных процессов. Неудобно и засоряет лог. Предлагаю так. Список всех процессов, а ниже список длл, и для каждой длл список PID процессов в которые она загружена. Будет намного нагляднее.[/QUOTE] И тогда можно забыть про выделение цветом строк и выделять только шапки таблицы.
Кстати, неплохо бы, как раньше, выделять безопасные файлы зеленым цветом (и/или шрифтом).
Еще хорошо бы в таблицы добавить колонки с размерами файлов. Будет проще отделить безопасные файлы от "зверей", которые имеют, как правило, небольшой размер.
Олег, пару раз высылал вам системные файлы с расширением *.IME, *.TSP, а в базе безопасных их нет...
[QUOTE=DenZ]В "[B]Исследовании системы[/B]" есть проблемы с выделением цветом процессов и DLL, они часто путаются, т.е. некоторые процессы имеют цвет DLL, и наоборот.
Поддерживаю предложение Geser'а: И тогда можно забыть про выделение цветом строк и выделять только шапки таблицы.
Кстати, неплохо бы, как раньше, выделять безопасные файлы зеленым цветом (и/или шрифтом).
Еще хорошо бы в таблицы добавить колонки с размерами файлов. Будет проще отделить безопасные файлы от "зверей", которые имеют, как правило, небольшой размер.
Олег, пару раз высылал вам системные файлы с расширением *.IME, *.TSP, а в базе безопасных их нет...[/QUOTE]
С *.IME, *.TSP проблема скоро разрешиться - как легко видеть из доработок AVZ я открываю сезон охоты на "правильные" файлы.
Теперь насчет размеров - есть два пути - добавить колонки или сделать имя файла гиперссылкой - при ее нажатии будет выскакивать окно со свойствами файла (размер, полные копирайты, данные о формате, упаковщике ...). Экспериментальный вариант есть - через обычный alert в javascript.
По поводу цветов - получается, что нужны цвета:
1. Цвет фона
2. Цвет и оформление заголовка
3. Цвет и оформления безопасного файла
4. Цвет и оформления небезопасного файла
плюс для выделения DLL
5. Цвет и оформления безопасного DLL файла
6. Цвет и оформления небезопасного DLL файла
Есть предложения ? (т.е. прямо цыета в HEX виде, я их забью в AVZ
Насчет предложения сделать DLL отдельно, без повторов - это и хорошо, и не очень ... выход таков - я делаю опцию, которая становится доступной при включении птички "Библиотеки процессов" - с помощью этой опции можно будет выбрать режим (как сейчас или два списка - exe и DLL). Для раздельного списка я в списке DLL добавляю столбец PID, там список PID процессов, причем каждый будет гиперссылкой для прыжка на строку процесса в списке процессов.
[QUOTE=Зайцев Олег]
3. насчет портов - варианты продумываются, но связка порт-процесс пока не проходит - есть же динамическое названием порта, ... оно непредсказуемо/ Ближайший пример - порты UDP, открывемые в IE - я попробовал несколько раз его запустить - и получил порты 1089,1230, 1247 ... нужно еще [url="http://virusinfo.info/member.php?u=1525"][color=#6600ff]aintrust[/color][/url] послушать, может он выскажет мнение по портам ...[/QUOTE]
Насчет отображения "безопасных" и "опасных" портов надо подумать и попробовать накопить какую-то мало-мальскую статистику использования портов системными процессами (для начала). На мой взгляд, речь должна идти только о портах в режиме 'listening', т.к. все остальное может быть непредсказуемо и меняться как угодно, но таких портов будет совсем немного, хотя уже даже это исключит большую часть предупреждений.
И еще: пользователя смущает сообщение "Опасно... и.т.д.", связанное с обнаружением номера порта из базы "опасных" портов. Подобная ситуация была (и есть до сих пор) с нейросетью и кейлоггерами. Большинство народа почему-то сразу же решило, что если обнаружен кейлоггер, то это нечто страшное. Я говорил тебе об этом с самого начала, и потом пришлось долго еще объяснять, что имелось ввиду совсем другое. :) Так и здесь! В подавляющем большинстве случаев сообщение об "опасных" портах неправильно отражает действительность, и никакой реальной опасности нет вообще - поэтому как минимум его нужно заменить на более мягкое "Предупреждение...", чтобы не пугать пользователей. :)
Помимо этого, стоит проверять (эвристикой или еще как-то), нет ли в системе следов "зверя", который связан с этим опасным портом и сказать об этом пользователю (типа найдено/нет)
Кроме того, для процессов, инициированных .exe-шниками Microsoft, обязательно нужно проверять цифровую подпись и, возможно, целостность модуля в памяти (надо подумать об этом на досуге). :) Если все ОК, то сообщение об "опасном" порте, к примеру TCP/5000 для сервиса UPnP, можно вообще не выдавать.
Иными словами, стоит подумать не только о накоплении статистики по портам и возможной реализации предложения [B]Geser[/B]-а, но также и о том, как можно "улучшить" существующее на сегодяшний день решение.
И еще: документация! Надо в доке побольше разъяснять, что и как! Хотя хелпы редко кто читает, но все же! Это могло бы снять часть недоуменных вопросов.
[QUOTE=aintrust]сообщение об "опасном" порте, к примеру TCP/5000 для сервиса UPnP, можно вообще не выдавать.[/QUOTE]
UPnP, вообще-то, сервис сам по себе небезопасный...
[QUOTE=pig]UPnP, вообще-то, сервис сам по себе небезопасный...[/QUOTE]
А какой, по вашему мнению, безопасный? :)
А что касается именно UPnP, то, к сожалению, во многих случаях это "неизбежное зло", как, впрочем, и большинство системных сервисов.
[QUOTE=aintrust]А какой, по вашему мнению, безопасный? :)
А что касается именно UPnP, то, к сожалению, во многих случаях это "неизбежное зло", как, впрочем, и большинство системных сервисов.[/QUOTE]
тут просто проблема в том, что это для нас понятно - опасный, безопасный ... а беда в том, что увидев такое предупредление пользователь может поубивать подозрительные файлы :)